段玉保

摘要：无线局域网在接入岸基IP核心网过程中，经常出现信息传输网络中断，影响部队训练。通过深入研究和分析，定位了故障产生原因，采取更改STP模式、人工指定根桥、开启根保护等解决措施，避免了MAC地址漂移以及网络环路现象的发生，减少了有线与无线互联中断次数，缩短了网络收敛时间。实践证明，以上措施能解决岸海训练网络环路导致的网络中断问题，提高了数据传输效率和军事训练效益。

关键词：

无线传输；军事训练；网络环路；MAC漂移；STP

DOIDOI：10.11907/rjdk.172970

中图分类号：TP393

文献标识码：A 文章编号文章编号：1672-7800（2018）008-0202-03

英文摘要Abstract：In the process of accessing the shore-based IP core network， the WLAN often has an interruption of the information transmission， which affects the training of the troops. Through in-depth research and analysis， the cause of the fault is located， and measures such as changing the STP mode， manually designating the root bridge， and opening the root protection are taken. It avoids MAC address drift and network loop phenomenon， reduces the number of wired and wireless interconnect interruptions， and shortens network convergence time. Practice has proved that the above measures can solve the network interruption problem caused by the shore training network loop， improve the data transmission efficiency， and enhance the military training efficiency.

英文关键词Key Words：wireless transmission；military training；network loop；MAC drift；STP

0 引言

随着部队训练信息化水平的提高，在演习中岸基指挥所需要从各训练、保障舰实时获取的训练要素越来越多，传统电台、数据链、卫通等传输手段带宽窄、速率低、传输信息种类单一，已不能满足训练导调和考核评估的需求。为解决以上问题，需要在训练海域沿岸各陣地和舰上架设无线宽带传输设备构建无线局域网，用于岸海传输调度语音、视频和数据等信息传输。无线局域网具有发射功率大、覆盖距离远等优点，但在受到干扰或天线被遮挡时链路不稳定。在协同训练中，经常采用把无线局域网接入岸基IP核心网的方式[1]，由于无线链路的特点，在岸海之间传输数据过程中，经常出现MAC地址漂移引起网络环路导致链路中断的现象。本文提出更改STP模式、人工指定根桥、开启根保护等解决措施，增强无线网络通信质量，大大降低了网络出现故障的几率。

1 问题描述

训练网络拓扑中的网络设备均采用华为交换机，其中9300作为三层设备使用，5700、2700作为二层设备使用。S9300-1、S9300-2、S9300-3相互之间采用双线互联，采用VLANIF三层接口互联，互联接口模式为ACCESS，为保证正常通信，在其中一条互联接口上关闭生成树协议。9303-2交换机上配置所有类型的VLAN，5700交换机上仅配置VLAN9。加密、解密设备不支持带有VLAN标签的数据报文，因此在与加密设备互联的9300-2端口上配置VLAN9，VLANIF9网关地址为192.168.32.254/19，网关MAC地址为745a-aae5-268a。加密设备上下互联的网口带宽为100M。军事训练网络拓扑如图1所示。

在训练过程中，发现无线局域网传输业务出现经常性中断，中断时间从几十秒到几十分钟不等，在中断时通过插拔汇聚交换机5700与加密设备互联的网线或者shutdown端口实现网络暂时稳定。无线局域网布站如图2所示。

在网络中断时查看5700状态及日志发现：①MAC地址漂移。5700交换机上VLANIF9的网关MAC地址应可从连接加密设备的G0/0/13口学习到，但是漂移到了连接无线方向的G0/0/2口和G0/0/5口，或是G0/0/5口和G0/0/8口。从抓包工具来看，能从5700交换机连接无线端的入方向（G0/0/2口、G0/0/5口、G0/0/8口）抓到源MAC地址为745a-aae5-268a，目的MAC地址为船上终端、TTL值为127的数据报文（ICMP请求） [2]。交换机同时也将漂移记录保存在了log日志中：OID 1.3.6.1.4.1.2011.5.25.160.3.7 MAC move detected， VlanId = 9， MacAddress = 745a-aae5-268a， Original-Port = GE0/0/8， Flapping port = GE0/0/5 and GE0/0/8. Please check the network accessed to flapping port；②网络风暴。5700交换机下联口出方向的流量不断增加，逐步增至70%～80%，有时能达到100%，入方向流量最多在30%左右。5700上联口0/0/13也出现过端口利用率达到10%、流量100Mbps的情况，期间MAC地址表迅速（1min以内）减少到只有几项，正常应为80多项，且增加老化时间无效；③log信息中有大量桥协议数据单元（Bridge Protocol DataUnit，BPDU）重复包告警，每次断网时对应出现端口流量超门限告警。

2 原因分析

在核心交换机9300-2上使用display stp topology-change命令查看网络拓扑变化相关统计信息，发现网络拓扑变化频繁，如图3所示。

查看端口TC/TCN报文收发计数，发现S9300-2存在多个端口收到大量TC/TCN（拓扑变更，拓扑变更通知）报文，收到TC报文即意味该端口下接网络拓扑在变化，如图4所示。

在岸海协同训练中，海上依托无线局域网进行信息传输的装备大概有两百多台，包括无线基站、加解密设备、TP-Link、华为交换机、传输设备以及信息终端等，网络环境非常复杂。设备因训练开始/结束、无线传输不稳定或者自身故障等原因，不时有开关机、入网、退网等操作导致交换机端口UP/DOWN。所有网络设备工作在同一个生成树实例中，每台设备、每個端口的每次状态变化都会导致生成树协议（STP）进行收敛，产生TC报文。网络拓扑在收敛过程中，端口由Blocking状态转换到Forwarding状态须经过两倍的转发时延，至少30s。如果网络拓扑结构频繁发生变化，网络也会频繁失去连通性，用户通信也会频繁中断，导致收到大量TC报文的核心交换机9300-2的CPU资源占用率升高，端口下联的设备或者终端出现多次拓扑变化，导致MAC表和ARP表不断刷新，对CPU产生巨大冲击，会影响业务正常运行，而正常的网络拓扑在稳定情况下不会频繁发生变化。

因此故障确定为生成树状态频繁改变引起临时环路（生成树协议从理论上存在临时环路），STP状态改变的原因包括：①桥ID优先级高且MAC地址小的设备发出配置TC报文[3]；②设备开关机；③插拔网线；④一些不确定因素引起端口UP/DOWN。

生成树协议运行时需要选举根桥，桥ID最小的优先级最高，将被选举为根桥[4]。在桥优先级相同时比较桥ID中的桥背板MAC地址，MAC地址最小的将成为交换网络中的根桥[5]。如果当前网络已经选举好根桥，且运行稳定，此时再有设备开机加入网络，其MAC地址比当前根桥MAC地址小，则会生成树重新计算、再次选举根桥。频繁计算导致协议不断收敛，进而影响整网，在训练网络中可能造成高速流量迁移到低速链路上，引起无线网络拥塞，使BPDU报文无法通过，引起拓扑变化。

无线基站是新研设备，在故障排查中发现其支持STP，模式为RSTP，模式不能更改或者关闭，并向IP网内发送BPDU报文。

3 解决措施

故障定位后，根据实际情况采取了以下解决措施：

（1）分割STP域。对现网所有S9300交接机进行版本升级，将三层互联接口VLANIF三层改为纯三层接口，分割STP域，缩小STP域范围。

（2）改进优化STP。将全网交换机STP模式统一更改为MSTP。MSTP是多生成树协议，一个网络可以划分为多个MSTP域，一个MSTP域又可以划分出多个生成树实例[6]，因此不同VLAN之间产生不同的选举结果，避免了连通性缺失的问题，对流量起到负载分担的作用，提高了网络资源利用率[7]。

（3）人工指定根桥，开启根保护功能。在每个2层网络中强制指定性能最好的核心交换机S9300为根桥，不再让网络自动选举根桥，同时开启根保护功能。指定端口在收到优先级更高的BPDU报文时，端口状态进入报文丢弃状态，不再转发报文[8]。在经过两倍的时延后，如果端口一直没有再收到更高优先级的BPDU报文，端口自动恢复到正常转发状态[9]。

（4）开启TC-BPDU攻击保护功能。开启TC-BPDU攻击保护功能，如果一定时间内收到的拓扑变化报文数量超出阈值，定时器到期后设备只对其统一处理一次，可以避免频繁删除MAC地址表项和ARP表项，从而达到保护设备的目的[10]。

（5）丢弃环回的数据包。在5700交换机和与基站相连的2700交换机上配置MAC地址过滤，将环回的数据包丢弃。

采取上述措施后，发现网络拓扑状态基本稳定，无线端设备的开关机、入网、断网等状态变化对其影响大幅降低，但在测试中发现，岸海无线基站在通信距离内构建成一个环形内网，内网之间构建网络拓扑发出的BPDU报文却发送到了外网，内网RSTP模式与华为设备不兼容，该通信接入方式在接入IP网时存在成环风险。因此无线设备研制单位应更改内网通信模式，降低成环风险，减少故障点；同时为减少由于舰船转向造成天线被遮挡形成的网络中断，在舰船上应采用双天线通信模式。

4 结语

通过对军事训练网络环境的精确分析，将网络故障进行了准确定位，对网络设备进行正确配置，并对无线设备系统通信模式进行了修改完善，增强了无线网络通信质量，大大降低了网络故障几率。在实际训练中网络中断次数明显减少，数据传输实时性增强，网络不稳定不再成为影响岸海数据通信的瓶颈因素，军事训练效率和军事效益明显提高。

参考文献：

[1] 李春炜.无线局域网技术在校园网建设中的应用[J].数字技术与应用，2016（2）：54-54.

[2] 赵咸红，桂刚.一种MAC漂移检测功能的实现与应用[J].邮电设计技术，2013（8）：67-69.

[3] 张书园.RSTP协议在AX-7005交换机中的实现和改进[D].西安：西安电子科技大学，2009.

[4] 葛文龙.基于STP的网络环路解决方法研究[J].计算机光盘软件与应用，2013（20）：103-104.

[5] 刘卫斌.以太网环路保护协议STP研究[D].南京：南京理工大学，2008.

[6] 赵振辉.SSTP——对MSTP种扩展的一种协议的实现[D].南京：东南大学，2008.

[7] 张文川.使用MSTP提高生成树的弹性[J].电脑知识与技术，2016（15）：68-69.

[8] 鲍新春.基于SDN/Openflow的数据中心网络的研究[D].成都：电子科技大学，2016.

[9] 李鹏.快速生成树协议在交换芯片BCM53202M上的实现[D].苏州：苏州大学，2014.

[10] 王达.华为交换机学习指南[M].北京：人民邮电出版社，2014.

（责任编辑：江 艳）